Styrning av IT-utveckling Intern styrning och kontroll i processen för IT-utveckling

Storlek: px
Starta visningen från sidan:

Download "Styrning av IT-utveckling Intern styrning och kontroll i processen för IT-utveckling"

Transkript

1 Dnr /2011 1(2) Internrevisionen Angelica Davidsson Nirvning Internrevisionsrapport Styrning av IT-utveckling Intern styrning och kontroll i processen för IT-utveckling Internrevisionen har i enlighet med revisionsplanen för 2011 granskat intern styrning och kontroll i processen för IT-utveckling. Syftet med revisionen är att granska och göra en nulägesanalys av styrning och intern kontroll i hanteringen av IT- och projektutveckling för att identifiera förbättringsområden. Granskningen har utgått från följande frågeställningar: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av IT-utvecklingen inom myndigheten (effektivitet)? 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda IT-utvecklingsprojekt (effektivitet, regelefterlevnad)? 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? I enlighet med revisionsplanen har konsultstöd med ITrevisionskunskap anlitats. En IT-revisor från Transcendent group har varit ansvarig revisor och projektledare för uppdraget. Internrevisionen har deltagit som medverkande revisor i projektet och har medverkat vid samtliga intervjuer utom en och har i övrigt hanterat alla kontakter mellan Transcendent group och Socialstyrelsen. Rapporten från Transcencent group utgör internrevisionens revisionsrapport och presenteras i bilaga 1. De bedömningar och rekommendationer som lämnas i rapporten utgör internrevisionens bedömningar och rekommendationer. SOCIALSTYRELSEN Stockholm Telefon socialstyrelsen@socialstyrelsen.se Fax Org nr Plusgiro

2 SOCIALSTYRELSEN Dnr /2011 2(2) Beslut i detta ärende har fattats av internrevisionschef Angelica Davidsson Nirving Angelica Davidsson Nirving Bilaga: Rapport IT-utveckling: Styrning och intern kontroll inom ITutvecklings- och projektverksamheten

3 IT-utveckling Socialstyrelsen Styrning och intern kontroll inom IT-utvecklings- och projektverksamheten Internrevision

4 Sammanfattning På uppdrag av internrevisionen vid Socialstyrelsen har Transcendent Group utvärderat myndighetens IT-utveckling. Syftet med revisionen var att granska styrning och intern kontroll i processen för IT-utveckling och projektverksamhet i syfte att identifiera förbättringsområden. Granskningen har utgått från tre frågeställningar, vilka nedan sammanfattas: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av ITutvecklingen inom myndigheten (effektivitet)? Granskningen visar på stora brister avseende styrningen av myndighetens ITutvecklingsaktiviteter. Det finns en otydlighet och osäkerhet kring såväl roller och ansvar som processer avseende utveckling av Socialstyrelsens IT-system. Det finns inte en tydlig process för prioritering och resursplanering av utvecklingsprojekt och det finns inte någon övergripande samordning, koordinering och uppföljning av pågående och planerade utvecklingsprojekt. Den sammanfattande bedömningen är att området är mycket otillfredsställande. 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda ITutvecklingsprojekt (effektivitet, regelefterlevnad)? Granskningen visar att styrningen och hanteringen av enskilda projekt saknar en enhetlig struktur och att Socialstyrelsens projektstyrningsmodell ej är ändamålsenlig och inte efterlevs vid IT-utvecklingsprojekt. Det finns väsentliga brister inom projektuppföljningen och en otydlighet kring kostnadsredovisning. I samband med projektavslut saknas riktlinjer för överlämning till drift och förvaltning. Den sammanfattande bedömningen är att området är otillfredsställande. 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? Det har vid granskningen framkommit att det inte finns en struktur och process för såväl kravställning som mottagande av förändringsbehov kopplat till IT-stödet. Ansvaret avseende systemförvaltning är ofta otydligt vilket särskilt gäller förvaltning av de register och databaser som främst används av avdelningen Statistik och utvärdering och hanteras i SAS-system. Inom systemutvecklingsarbetet finns inte en enhetlig process med riktlinjer kring kravhantering, systemdokumentation, testning och driftsättning. Den sammanfattande bedömningen av området är otillfredsställande. För att åtgärda de brister och risker som identifierats krävs att tydliga processer tas fram, fastställs och kommuniceras till samtliga berörda parter. Vår bedömning är att dessa nya processer och arbetssätt ej kan åstadkommas med befintliga roller och resurser. De roller som vi rekommenderar att införa är följande: En övergripande IT-strateg bör rekryteras som ansvarar för Socialstyrelsens användning av IT och dess IT strategi samt representerar beställaren av IT-stöd (verksamheten) gentemot leverantören (IT-enheten eller annan leverantör). Denna funktions skulle kunna placeras inom GD-staben eller den Administrativa avdelningen. IT-strategen bör vidare ansvara för sammanställning och uppföljning av Socialstyrelsens samtliga pågående och planerade IT-utvecklingsprojekt och medverka i styrgrupp (eller motsvarande) för samtliga myndighetsgemensamma eller mer omfattande IT-utvecklingsprojekt Socialstyrelsen 2 (21)

5 En eller ett fåtal utpekade IT-samordnare/IT-beställare utses per avdelning med uppgift att ansvara för koordinering av förändringsbehov i IT-stödet inom avdelningen och agera språkrör gentemot IT-enheten och förmedla avdelningens förändringsbehov och IT-resursbehov till en dedikerad kundansvarig inom IT-enheten En eller flera utpekade kundansvariga rekryteras/utses inom IT-enheten med ansvar för mottagning av önskemål om resurser/medverkan från IT-enheten i IT-utvecklingsprojekt liksom löpande förvaltnings- och utvecklingsärenden där tydliga kommunikationskanaler inte redan finns etablerade genom systemförvaltningsmodellen Magnus Thyllman Certifierad internrevisor, CIA Certifierad IT-revisor, CISA Socialstyrelsen 3 (21)

6 Innehållsförteckning Sammanfattning... 2 Innehållsförteckning Inledning Bakgrund Syfte och frågeställningar Avgränsningar Utfört arbete och metodik Ramverk och bedömningskriterier Styrning av IT-utvecklingen inom myndigheten Övergripande styrning och organisation Budgetering, resurstilldelning och prioritering av projekt Koordinering, samordning och uppföljning Styrning och hantering av enskilda IT-utvecklingsprojekt Projektmodell Projektförutsättningar Löpande projektuppföljning Projektavslut Hantering av löpande systemförvaltning och IT-utvecklingsaktiviteter Systemförvaltning Systemutveckling Förbättringsområden, bedömningar och rekommendationer Styrning av IT-utveckling inom myndigheten Otydliga roller och processer för styrning av IT-utveckling Otydlig beslutsprocess avseende IT-utvecklingsprojekt Avsaknad av IT-strategi ökar osäkerheten kring IT-utvecklingsbeslut Styrning och hantering av enskilda utvecklingsprojekt Socialstyrelsens projektmodell är bristfällig Bristfällig projektuppföljning Otydliga riktlinjer för kostnadsredovisning Bristande hantering av projektavslut IT-enheten saknar resurser med tillräcklig erfarenhet från projektarbete Hantering av löpande systemförvaltning och IT-utvecklingsaktiviteter Systemförvaltningsmodellen saknar rollbeskrivningar Avsaknad av struktur och process för hantering av förändringsbehov Otydligt ansvar för förvaltning av SAS-systemen Process för systemutveckling saknas Socialstyrelsen 4 (21)

7 1 Inledning På uppdrag av internrevisionen vid Socialstyrelsen har Transcendent Group utvärderat styrning och intern kontroll inom IT-utvecklings- och projektverksamheten. 1.1 Bakgrund Socialstyrelsen använder sig i huvudsak av standardsystem och IT-utvecklingsarbete bedrivs i begränsad omfattning och till största delen med hjälp av externa konsulter. Enligt 4 kap. 3a i arbetsordning för Socialstyrelsen (dnr /2010) svarar den Administrativa avdelningen för utvecklingsprojekt, infrastruktur och service avseende IT. IT-enheten, som ingår i den Administrativa avdelningen, har dock inte ett tydligt ansvar för övergripande samordning av IT-utveckling såsom framtagande av krav och metodik för ITutvecklingsprojekt. Enheten har totalt 24 anställda (varav två är inhyrda konsulter) som arbetar med servicedesk, infrastruktur och förvaltning. IT-enheten erbjuder inte systemutveckling som tjänst. Inom IT-enheten pågår ett förändrings- och utvecklingsarbete, bland annat har en ny systemförvaltningsmodell utarbetats och beslutats av GD och en ny organisation för ITenheten införs den 1 april Det finns inte någon IT-strategi, IT-utvecklingsportfölj eller något beredande organ med uppgift att koordinera och samordna Socialstyrelsens pågående och framtida ITutvecklingsprojekt. IT-utvecklingsarbete bedrivs inom flera av avdelningarna. Sakavdelningarna upplever idag att de inte får det stöd de behöver avseende IT-utveckling från IT-enheten. Detta kan i sin tur leda till att verksamheten inte erhåller ändamålsenliga systemstöd och därmed inte har möjlighet att genomföra planerad verksamhetsutveckling. Det har inom Socialstyrelsen förekommit att IT-projekt som bedrivits inte kunnat leverera efterfrågade resultat. IT-projektet Händelsedatabas Klara och det inledande arbetet 2010 inför införandet av ett nytt intranät är exempel på IT-utvecklingsaktiviteter som inte levererat avsedda resultat. 1.2 Syfte och frågeställningar Syftet med revisionen är att granska och göra en nulägesanalys av styrning och intern kontroll i hanteringen av IT- och projektutveckling för att identifiera förbättringsområden. Granskningen har utgått från följande frågeställningar: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av IT-utvecklingen inom myndigheten (effektivitet)? 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda ITutvecklingsprojekt (effektivitet, regelefterlevnad)? 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? Socialstyrelsen 5 (21)

8 1.3 Avgränsningar Granskningen omfattar inte den generella verksamhetsutvecklingsprocessen inom myndigheten utan avgränsar sig till styrning av sådan verksamhetsutveckling där IT-utveckling ingår. Med IT-utveckling avses i rapporten aktiviteter kopplade till planering, styrning, genomförande, övervakning samt uppföljning av förändringar i myndighetens IT-stöd (såväl applikationer som IT-infrastruktur). 1.4 Utfört arbete och metodik Transcendent Group har bistått internrevisionen med IT-revisionskunskap i detta uppdrag och en konsult har varit ansvarig revisor och projektledare för uppdraget. Internrevisionen på Socialstyrelsen har medverkat i uppdraget i rollen som medverkande revisor. Granskningen utfördes genom intervjuer med ansvariga och inläsning av styrande dokument och annan dokumentation. Chefer och personal inom IT-enheten har intervjuats liksom chefer i verksamheten och då särskilt från Avdelningen för statistik och utvärdering då denna avdelning är mycket IT-beroende. För att verifiera iakttagelserna har två IT-utvecklingsprojekt granskats specifikt och projektledare intervjuats. Socialstyrelsen 6 (21)

9 2 Ramverk och bedömningskriterier Internrevisionen har utgått från ramverket COBIT 1 vid sin granskning av styrning och intern kontroll inom IT-utveckling. COBIT är ett ramverk för såväl styrning som revision av kontroller som påverkar verksamhetens användning av IT. Granskningen har baserats på främst följande processer inom COBIT: Plan and Organize PO10 Manage Projects (Styrning och hantering av projekt) Acquire and Implement AI2 Acquire and Maintain Application Software (Anskaffning och underhåll av applikationer) AI3 Acquire and Maintain Technology Infrastructure (Anskaffning och underhåll av IT-infrastruktur) AI6 Manage Changes (Förändringshantering) AI7 Install and Accredit Solutions and Changes (Driftsättning och överlämning till förvaltning) Internrevisionen har i respektive revisionsbedömning bedömt risken med iakttagelsen. Har risken bedömts vara kritisk är revisionsbedömningen mycket otillfredsställande (röd). Anses risken vara mycket väsentlig är revisionsbedömningen otillfredsställande (orange). Anses risken som väsentlig är revisionsbedömningen delvis otillfredsställande (gul). Är risken mindre väsentlig är revisionsbedömningen tillfredsställande (grön). Varje revisionsfråga besvaras i var sitt kapitel (kapitel 3-5) och följs av en beskrivning av identifierade förbättringsområden, bedömningar och rekommendationer i kapitel 6. 1 COBIT (Control OBjectives for Information and related Technology) Socialstyrelsen 7 (21)

10 3 Styrning av IT-utvecklingen inom myndigheten 3.1 Övergripande styrning och organisation Granskningen visar att det finns en otydlighet och osäkerhet kring roller och ansvar avseende utveckling av Socialstyrelsens IT-system. Det finns inte en tydlig struktur för hur såväl stora som små förändringar i IT-miljön ska hanteras och hur detta hänger ihop med den ordinarie planeringsprocessen och arbetet med verksamhetsplaner. Beslut avseende större IT-investeringar och utvecklingsprojekt fattas av GD efter diskussion i ledningsgruppen. Det finns dock inte fastställda rutiner och mallar för att förse ledningsgruppen med ändamålsenliga och väl underbyggda beslutsunderlag. Avsaknaden av en formellt beslutad IT-strategi ökar osäkerheten kring strategiska investeringar, då en IT-strategi brukar ange och fastställa inriktningen för en organisations användning av IT-stöd. Det finns på grund av detta inte förutsättningar för att ledningsgruppen ska få en gemensam och överblickbar bild av handlingsalternativ, kostnader, konsekvenser och strategiska prioriteringar avseende IT-utveckling. I avdelningarnas verksamhetsplaner ska utvecklingsbehov finnas med. Det har dock framkommit att så inte alltid är fallet. Det finns även en osäkerhet kring hur processen ser ut för att omvandla utvecklingsplaner till utvecklingsaktiviteter och hur IT-enheten är och bör vara delaktiga i detta arbete. I de fall avdelningarna behöver hjälp av IT-enheten i enskilda utvecklingsärenden saknas ofta tillräckliga underlag och dokumenterade krav. Detta kan dock, åtminstone delvis, förklaras med att det inte finns mallar och stöd för vilken information de behöver ta fram. Det kan konstateras att verksamheten saknar tillräcklig beställarkompetens i IT-utvecklingsfrågor. Vid intervjuer har flera påtalat att de upplever att de inte får återkoppling på information och önskemål som lämnas till IT-enheten. Detta kan delvis bero på att det inom IT-enheten saknas tillräckliga resurser med kompetens och erfarenhet att omvandla verksamhetsbehov till IT-utvecklingsaktiviteter. IT-enheten har, i enlighet med GD:s beslut att införa Sharepoint plattformen på Socialstyrelsen 2, slagit fast att de ska fokusera på Microsoft-produkter och Sharepoint som primär plattform. Tidigare var plattformsval mindre styrt och IT-enheten arbetade mer reaktivt utifrån verksamhetens önskemål. Inriktningen mot Sharepointlösningar finns dock inte dokumenterad i någon plattformsstrategi 3 eller liknande. Register och databaser som används av avdelningen Statistik och utvärdering hanteras i SASsystemet 4, detta system används inte av den övriga myndigheten. De register och databaser som hanteras i SAS-system har enligt uppgift haft svårt att få det stöd som avdelningen Statistik och utvärdering anser sig behöva från IT-enheten då de främst fokuserar på Microsoft-produkter. 2 Beslut om budget, inriktning och gemensam styrgrupp för projekten "MOSS-plattform" och "Ny webbplats" föredragen i Socialstyrelsens ledningsgrupp, dnr En plattformsstrategi är ett beslut där det fastställs vilken systemmiljö såsom vilket operativ system och vilka databaser som ska användas i en verksamhet 4 Statistical Analysis System är integrerade systemlösningar som tillhandahålls av SAS Institutet Socialstyrelsen 8 (21)

11 3.2 Budgetering, resurstilldelning och prioritering av projekt Det finns inte någon process för prioritering av utvecklingsprojekt och resursplanering kopplat till denna. Större projekt beslutas av GD eller av avdelningschef idag, men det finns ingen central styrning av när projekten ska genomföras och hur resurser ska prioriteras mellan olika projekt. Då det i intervjuer framkommit att personalresurser på IT-enheten är en trång sektor med stort nyckelpersonsberoende, är en tydlig process för resurstilldelning en nödvändighet. Processen för verksamhetsplanering förefaller inte vara helt synkroniserad med beslut kring utvecklingsprojekt som påverkar IT-miljön, vilket gör att avdelningarna ibland sätter igång utvecklingsprojekt utan att dessa finns i verksamhetsplanerna. De intervjuade anser att mindre projekt med IT-påverkan som drivs inom avdelningarna fungerar bra i de flesta fall, men att de ofta är beroende av informella och inarbetade kontakter på IT-enheten. Det finns inte några tydliga riktlinjer kring hantering av budget i projekten. Samtliga projekt bedöms ha uppsatta budgetar i projektplanerna. Det finns dock en osäkerhet kring vilka kostnader som ska ingå i budgeten (och vad som avser investering respektive kostnad), hur detta ska följas upp löpande och vilket budgetansvar projektledaren har. 3.3 Koordinering, samordning och uppföljning Granskningen visar att det inte finns någon projektportfölj eller liknande sammanställning av pågående och planerade IT-utvecklingsprojekt utöver den investeringsplan som årligen beslutas av GD. Avsaknaden av en övergripande bild av vilka projekt och utvecklingsaktiviteter som pågår minskar möjligheterna för styrning, koordinering och samordning av dessa. Det har hänt att verksamheten drivit utvecklingsprojekt med stor IT-påverkan utan att ITenheten varit informerad eller involverad, vilket kan medföra att system tas fram som ITenheten saknar resurser för att förvalta eller inte passar i Socialstyrelsens plattform. Det finns även exempel där flera avdelningar driver liknande förändringsprojekt på egen hand utan att samordna dessa och dra fördelar av varandras erfarenheter och kompetens. Några av de intervjuade har indikerat att det pågår ett tjugotal projekt, men det förefaller inte finnas någon klar bild över detta. IT-enheten har inte heller överblick eller sammanställning över alla pågående projekt där de är inblandade. Det förefaller inte heller finnas någon strukturerad central övervakning och uppföljning av pågående projekt för Socialstyrelsen som helhet. Ledningen saknar därmed en samlad kunskap om vilka projekt som är försenade, vilka som drar över budget eller vilka som saknar resurser. Socialstyrelsen 9 (21)

12 4 Styrning och hantering av enskilda IT-utvecklingsprojekt Utvärderingen av hur enskilda utvecklingsprojekt hanteras gjordes genom att välja två projekt för detaljerad granskning. I samband med urvalet av projekt för granskning diskuterades ett flertal projekt, däribland några som bedömdes som misslyckade. Internrevisionen valde dock att välja två projekt som ansågs ha fungerat tillfredsställande, då det bedömdes onödigt att slå in öppna dörrar där brister redan konstaterats. Projekten som valdes var uppgraderingen av DHS till version 4.1 och införande av Nationell webbaserad kunskapsportal (Kunskapsportalen). Dessa två projekt är relativt olika i karaktär då Kunskapsportalen är ett regeringsuppdrag med tydlig kravbild och omfattning medan uppgraderingen av DHS är mer fritt och styrt utifrån avdelningarnas önskemål och behov. 4.1 Projektmodell Det finns en internt utarbetad projektmodell 5 inom Socialstyrelsen som är anpassad för olika typer av projekt, denna är dock inte uppdaterad sedan Exempelvis hänvisas i vissa delar till det IT-råd som ej längre finns. Av de två granskade projekten är det endast Kunskapsportalen som följt projektmodellen. Inom DHS-projektet användes inte modellen då den inte ansågs vara ändamålsenlig. Utifrån intervjuer har det framkommit att projektmodellen inte är anpassad för de krav som ställs vid IT-projekt. Synpunkter har framkommit på att den behöver bytas ut, alternativt uppdateras, då den saknar tydlighet kring ansvar och roller samt saknar tydliga mallar för projektstyrning och projektuppföljning. Modellen saknar också tydliga riktlinjer kring statusrapportering och användning av styrgrupper i projekten. Det förefaller vara vanligt förekommande att projektmodellen inte används i ITutvecklingsprojekt inom Socialstyrelsen då den inte anses relevant och ändamålsenlig. 4.2 Projektförutsättningar För Kunskapsportalen finns en projektplan som beskriver projektet och kraven har dokumenterats i så kallade user stories. För DHS-projektet finns ett projektdirektiv, upprättat enligt leverantören Logicas mall, där projektorganisationen finns dokumenterad. Kraven har dokumenterats i en Excelfil. Ingen formell beställningsrutin/mall finns för beställningar till Logica. Det händer att kraven som Socialstyrelsen skickar till Logica förändras flera gånger dvs. kraven blir inte frysta. Detta medför ibland att utvecklingen tar längre tid och därmed blir mer kostsam då lösningen måste konstrueras om flera gånger. Inom DHS finns inte heller någon process för prioriteringar av ändringsförslag. Om olika önskemål kommer från flera avdelningar kan det bli svårt att tillmötesgå alla önskemål. Detta har inte varit fallet hittills, men eftersom systemet används allt mer av fler avdelningar skulle detta kunna inträffa. Det finns litet dokumenterat om systemet sedan tidigare men sedan augusti 2010 har systemförvaltningsorganisationen för DHS (inom IT-enheten) börjat dokumentera alla förändringar som görs. 5 Beslutad , reviderad Socialstyrelsen 10 (21)

13 Inom Kunskapsportalprojektet är bedömningen att det finns tillräckligt med resurser. De är överbudgeterade dvs. kommer inte göra av med alla pengar i budgeten. Många konsulter deltar i projektet och svårigheten är inte att hålla budgeten utan att klara av tidsplanen. Inom DHS finns ett stort nyckelpersonberoende avseende projektledaren som i stor utsträckning hanterar projektet själv på Socialstyrelsen tillsammans med Logica. Systemägaren är även involverad men inte alls i samma grad som projektledaren. Projektet har endast en operativ styrgrupp som utgörs av projektledaren och systemägaren från Socialstyrelsen och två personer från Logica. Ett generellt problem som framkommit i flera intervjuer är svårigheten att få tillgång till ITresurser i projekt. IT-enheten vill vara med tidigt i projekten men verksamheten upplever ibland att IT-enhetens representanter inte tillför projektet det värde de förväntat. En av orsakerna till detta är att IT-enheten enligt uppgift främst består av plattformstekniker och supportkunniga som saknar erfarenhet och kompetens inom verksamhetsnära projektarbete och som inte har tillräcklig kunskap om verksamheten. 4.3 Löpande projektuppföljning Löpande projektuppföljning sker inom båda de granskade projekten. Uppföljningen är dock främst kopplad till projektets framfart och status medan aspekter som efterlevnad av budget och projektrisker inte beaktas i tillräcklig utsträckning. Styrgruppen för DHS-projektet ska egentligen träffas varje månad men har hittills endast haft två möten; i november och i februari. Inom Kunskapsportalprojektet har viss budgetuppföljning skett av projektledaren men inte på ett strukturerat och regelbundet sätt och det finns inte dokumentation från detta. Inom DHS-projektet sker ingen uppföljning av budgeten. Ingen följer heller upp debiterade timmar från Logica. Alla timmar/kostnader kopplat till DHS läggs samman vid fakturering, Logica lämnar dock en specifikation på hur timmarna fördelats per projekt och konsult. Det sker dock inte någon uppföljning av förbrukade timmar och interna kostnader tas inte med i projektbudgeten. Logica levererar även löpande support för akuta ärenden till Socialstyrelsen, kostnaderna för supporten faktureras också gemensamt med utvecklingskostnaderna. Rutinerna för redovisning av kostnader i samband med utvecklingsprojekt är också oklara vad avser gränsdragningen mellan det som tillgångsredovisas respektive kostnadsförs. I Kunskapsportalprojektet kostnadsförs exempelvis samtliga lönekostnader för intern personal, även kostnaden för den personal som deltar direkt i arbetet med att ta fram tillgången (Kunskapsportalen). I Kunskapsportalprojektet gjordes en riskanalys när projektplanen togs fram, vilken dokumenterades i projektplanen och enligt uppgift avrapporterades med förslag på åtgärder i referensgruppen. Denna är dock inte fullt genomförd då riskanalyser och uppföljning av åtgärder inte gjorts löpande i projektet därefter. I DHS-projektet identifierades tre risker i kravspecifikationen som nu är åtgärdade. er behandlas på styrgruppsmöten men det finns inget specifikt dokument som beskriver riskerna. Socialstyrelsen 11 (21)

14 En generell iakttagelse från intervjuerna är att det finns många olika uppfattningar om vad en styrgrupp är och vilken roll denna ska ha i ett projekt. Det förefaller som styrgrupper har mycket olika arbetssätt i de fall de används. 4.4 Projektavslut Hantering av projektavslut är ett område som inte tas upp i Socialstyrelsens projektstyrningsmodell. Inom Kunskapsportalprojektet finns inga tydliga avslutspunkter ännu. Ett förslag på förvaltning har lämnats av Socialstyrelsen men beslut har ännu inte erhållits från regeringen. Förvaltning av DHS version 4.0 finns redan och samma organisation kommer att användas för version 4.1. Det finns dock inte tydliga riktlinjer för hur överlämning ska ske från Logica till Socialstyrelsen. Utifrån övriga intervjuer har framkommit att det generellt inte finns rutiner avseende överlämning till förvaltning och drift och att kommunikationen många gånger har varit bristande vid överlämning från projekt. I utvecklingsprojekt anlitas ofta konsulter som ibland även medverkar vid driftsättning. Problem uppstår då när konsulterna lämnar projektet till drift då oklarheter kring roller och ansvar förekommer. Socialstyrelsen 12 (21)

15 5 Hantering av löpande systemförvaltning och ITutvecklingsaktiviteter 5.1 Systemförvaltning Det har funnits och finns fortfarande en osäkerhet inom Socialstyrelsen när det gäller roller och ansvar inom systemförvaltning. Det finns exempelvis ingen uttalad strategi kring ITenhetens roll inom systemförvaltningen. Idag agerar IT-enheten systemförvaltare främst för de flesta administrativa systemen, för mailsystemet och för DHS-systemet. För övriga system hanteras systemförvaltningen av verksamheten själva, ofta med hjälp av konsulter. En ny systemförvaltningsmodell har nyligen tagits fram och beslutats inom Socialstyrelsen 6. Det fanns även tidigare en systemförvaltningsmodell men denna var inte uppdaterad på många år och efterlevdes inte. Roller såsom systemägare och systemförvaltare har även funnits tidigare men det har inte funnits någon bild av vad rollerna innebär. Den nya systemförvaltningsmodellen är en förenklad modell där det för varje system ska upprättas ett förvaltningskontrakt som tydliggör ansvar och roller för systemet. Det har funnits och finns fortfarande en otydlighet kring ansvarsfördelningen mellan IT-enheten och verksamheten, vilket den nya modellen ämnar klargöra. Modellen innebär att verksamheten (respektive avdelning/enhet) ska vara systemägare för sina respektive system. IT-enheten kommer dock ha systemförvaltarrollen för vissa gemensamma system. Tanken är att systemägarna för varje enskilt system får bestämma själva hur de vill ha det och att detta ska dokumenteras. Den nya modellen är i ett första steg mer en kartläggning av roller och ansvar. Något som dock saknas i modellen är en tydlig beskrivning av vad rollerna systemägare och systemförvaltare innebär. En omorganisation pågår för närvarande inom IT-enheten, vilken kommer att resultera i en förvaltningsgrupp inom IT-enheten med ansvar att förvalta några myndighetsgemensamma system som Sharepoint-applikationer och DHS. Förvaltningsgruppen kommer också att ha till uppgift att fordra in systemkontrakt även för system som inte förvaltas av dem, så att myndigheten kan få en överblick över den totala förvaltningen. IT-enheten kommer att följa upp efterlevnaden av systemförvaltningsmodellen löpande och rapportera detta till ledningsgruppen och GD. Vid intervjuer har det framkommit att det finns brister i kravställningen från verksamheten gentemot IT-enheten för förvaltning av Socialstyrelsens IT-system. Mindre förändringar i systemen har hittills arbetats fram av de som arbetar med systemen i verksamheten tillsammans med någon på IT-enheten. Det finns inga interna serviceavtal (SLA 7 ) mellan verksamheten och IT-enheten. En önskad effekt av den nya systemförvaltningsmodellen är att denna ska tydliggöra och formalisera verksamhetens ansvar för kravställning gentemot ITenheten. För att möjliggöra denna kravställning krävs också att IT-enheten tydliggör på vilket sätt och i vilken utformning som kraven ska definieras. Ett område där systemförvaltningen under många år har dragits med problem är förvaltningen av Socialstyrelsens register och databaser som främst används av avdelningen Statistik och 6 Beslutad av GD vid ledningsgruppsmöte Service level agreement Socialstyrelsen 13 (21)

16 utvärdering och hanteras i SAS-system. Det är ungefär personer inom avdelningen som arbetar med dessa system dagligen. Verksamheten som arbetar med statistikregistren har inte lyckats komma överens med IT-enheten om en fungerande arbetsfördelning och det finns inom denna verksamhet en bild av att IT-enheten inte förstår deras behov. Ett område som varit föremål för meningsskiljaktigheter när det gäller IT-lösningar är vilken nivå av informationssäkerhet som behövs. Detta försvåras ytterligare av att det inom myndigheten finns brister inom informationssäkerhetsarbetet och att det inte finns någon informationssäkerhetsansvarig utsedd med kompetens att bedöma vad som är en rimlig säkerhetsnivå. Idag hanteras uppdateringar och utveckling av förändringar i SAS-miljön av verksamheten själva med hjälp av konsulter från systemleverantören. IT-enheten sköter endast drift av de Windowsservrar som SAS-systemen ligger på. Ibland medverkar IT-enheten vid driftsättning av förändringar, men inte alltid. Det finns en stor osäkerhet kring ansvar och roller mellan avdelningen och IT-enheten, speciellt vid förändringar som påverkar både applikation och ITinfrastruktur, som exempelvis kommunikationslösningar 5.2 Systemutveckling IT-enheten utför ingen systemutveckling utan detta hanteras av externa konsulter på uppdrag av sakavdelningarna. Ett fåtal personer inom IT-enheten ger visst stöd i arbetet med förstudier och kravställning. Det finns ingen formell rutin eller process för systemutveckling inom Socialstyrelsen. Det finns exempelvis inga dokumentationskrav och de arbetar inte med standardiserade ändringsbegäranden eller driftsättningsrutiner. IT-enheten har dock skapat en lista i Sharepoint för att dokumentera och klassificera förändringar internt på IT-enheten. För DHS har även rutiner avseende ändringsbegäran tagits fram. IT-enheten arbetar också med att etablera funktionsansvariga för olika delar av plattformen och systemförvaltare för olika system. En person ska exempelvis vara ansvarig för alla förändringar avseende Sharepoint. Generellt är dokumentationen bristfällig vid förändringar. Det saknar exempelvis ofta spårbarhet från godkännanden i samband med testning och driftsättning. Detta kommer dock enligt uppgift att hanteras i ett nytt verktyg (helpdesksystem) som ska införas inom kort. IT-enheten har s.k. servicefönster för uppdateringar var fjärde tisdagskväll samt några helger om året. Tidplanen publiceras på intranätet. Det finns ett flertal system som kräver regelbundna uppdateringar men framförallt är det Microsoft-patchar och uppdateringar i DHS som är under aktiv förvaltning. En acceptanstestmiljö håller på att byggas upp, primärt för Sharepoint-applikationer som DHS men även för övriga system. Acceptanstester görs idag endast för vissa system eftersom acceptanstestmiljöer inte finns uppbyggda för alla system. Problem uppstår ibland i förvaltningsfasen när en produkt har driftsatts om IT inte varit involverade/informerade i utvecklingen. Socialstyrelsen 14 (21)

17 6 Förbättringsområden, bedömningar och rekommendationer Utifrån resultatet av vår granskning har vi identifierat ett antal förbättringsområden där vi ser att Socialstyrelsen behöver vidta åtgärder. Nedan ges en sammanställning och bedömning av respektive förbättringsområde, vilket följs av detaljerade beskrivningar av förbättringsområde, risk och rekommendation. Internrevisionen har i respektive förbättringsområde gjort en bedömning av risken. Har risken bedömts vara kritisk är revisionsbedömningen mycket otillfredsställande (röd). Anses risken vara mycket väsentlig är revisionsbedömningen otillfredsställande (orange). Anses risken som väsentlig är revisionsbedömningen delvis otillfredsställande (gul). Är risken mindre väsentlig är revisionsbedömningen tillfredsställande (grön). bedömning för samtliga identifierade förbättringsområden. Förbättringsområde Otydliga roller och processer för styrning av ITutveckling Otydlig beslutsprocess avseende IT-utvecklingsprojekt Avsaknad av IT-strategi ökar osäkerheten kring ITutvecklingsbeslut Socialstyrelsens projektstyrningsmodell är bristfällig Bristfällig projektuppföljning Otydliga riktlinjer för kostnadsredovisning Bristande hantering av projektavslut IT-enheten saknar resurser med tillräcklig erfarenhet 3 från projektarbete Systemförvaltningsmodellen saknar rollbeskrivningar Avsaknad av struktur och process för hantering av 1 förändringsbehov Otydligt ansvar för förvaltning av SAS-systemen Process för systemutveckling saknas 2 Socialstyrelsen 15 (21)

18 6.1 Styrning av IT-utveckling inom myndigheten Otydliga roller och processer för styrning av IT-utveckling Det finns en otydlighet och osäkerhet kring såväl roller och ansvar som processer avseende utveckling av Socialstyrelsens IT-system. Det finns inte en process för prioritering och resursplanering av utvecklingsprojekt och det finns inte någon övergripande samordning, koordinering och uppföljning av pågående och planerade utvecklingsprojekt. en är att utvecklingsprojekt startas och implementeras som: - inte är förankrade i högsta ledningen - inte har de rätta förutsättningarna och resurserna - inte på ett kostnadseffektivt och säkert sätt kan driftas inom Socialstyrelsens tekniska plattform - har negativ påverkan på andra pågående utvecklingsaktiviteter - inte efterfrågas av verksamheten Detta kan i sin tur leda till merkostnader för myndigheten. Socialstyrelsen har ett stort behov av att skapa en tydlig struktur och enhetliga processer för styrning av sina IT-utvecklingsaktiviteter. En utvecklingsprocess skulle behöva tas fram och kommuniceras med tydliga riktlinjer och rutiner för enhetlig hantering av samordning, koordinering, resursplanering och uppföljning av pågående och planerade utvecklingsprojekt. Vår bedömning är att dessa nya processer och arbetssätt ej kan åstadkommas med befintliga roller och resurser. De roller som vi rekommenderar att införa är följande: En övergripande IT-strateg rekryteras till GD-staben/Administrativa avdelningen med främst följande arbetsuppgifter: o ansvara för Socialstyrelsens användning av IT o systemägare för den gemensamma IT-infrastrukturen o ansvara för Socialstyrelsens IT strategi och dess genomförande o representera beställaren av IT-stöd (verksamheten) gentemot leverantören (ITenheten eller annan leverantör) o medverka i styrgrupp (eller motsvarande) för samtliga myndighetsgemensamma eller mer omfattande IT-utvecklingsprojekt o ansvara för sammanställning och uppföljning av Socialstyrelsens samtliga pågående och planerade IT-utvecklingsprojekt En eller flera kundansvariga rekryteras/utses inom IT-enheten med främst följande arbetsuppgifter: o ansvara för mottagning av önskemål om resurser/medverkan från IT-enheten för såväl avdelningsspecifika som myndighetsgemensamma IT-utvecklingsprojekt o hantera all mottagning av förändringsbehov från verksamheten i de fall tydliga kommunikationskanaler inte redan finns etablerade inom systemförvaltningsmodellen o ha kontinuerliga uppföljningsmöten med sakavdelningarna avseende verksamhetens IT-behov där även IT-strategen bör medverka En eller ett fåtal utpekade IT-samordnare/IT-beställare utses per avdelning med främst följande arbetsuppgifter. o ansvara för koordinering av förändringsbehov i IT-stödet inom avdelningen Socialstyrelsen 16 (21)

19 o agera språkrör gentemot IT-enheten och förmedla avdelningens förändringsbehov och IT-resursbehov i utvecklingsprojekt med kundansvarig inom IT-enheten o medverka i regelbundna uppföljningsmöten med kundansvarig på IT-enheten Vi rekommenderar även att IT-strategen och IT-samordnarna/IT-beställarna träffas regelbundet (exempelvis månadsvis) i någon form av IT-beställarforum för att diskutera myndighetsgemensamma IT-utvecklingsbehov Otydlig beslutsprocess avseende IT-utvecklingsprojekt Det finns inte en tydlig struktur för beslut kring IT-investeringar och IT-utvecklingsprojekt. Det är oklart vilka beslut som ska fattas av GD och vilka som kan hanteras inom avdelningarna. Beslutade IT-utvecklingsprojekt är inte heller samordnade och kopplade till den ordinarie planeringsprocessen och verksamhetsplanerna. Det har också framkommit att beslut ofta tas utan ändamålsenliga och väl underbyggda beslutsunderlag. Otydlighet i beslutshantering och koppling till planeringsprocessen ökar risken för att resurser utnyttjas ineffektivt och försvårar möjligheten till god planering och styrning av projekt. Undermåliga beslutsunderlag kan leda till felaktiga beslut med misslyckade investeringar som följd. Vi rekommenderar att Socialstyrelsen tydliggör processen för beställning och beslut av utvecklingsprojekt inklusive mallar för framtagande av väl underbyggda beslutsunderlag för utvecklingsbehov Avsaknad av IT-strategi ökar osäkerheten kring IT-utvecklingsbeslut Avsaknaden av en formellt beslutad IT-strategi ökar osäkerheten kring strategiska investeringar och utvecklingsaktiviteter. IT-strategin bör bygga på myndighetens strategier och omfatta de strategier och mål som styr hur information ska hanteras och användas på bästa sätt inom verksamheten. IT-strategin bör sedan även brytas ned till mer operativa handlingsplaner. Utan IT-strategi ökar risken att IT-utvecklingsprojekt och IT-investeringar leder till dysfunktionella och komplexa systemmiljöer, vilket är både kostnadsineffektivt och försvårar underhåll och förvaltning. Vi rekommenderar att en IT-strategi upprättas inom Socialstyrelsen. Upprättandet kan hanteras av en eventuell IT-strateg alternativt IT-enheten, men bör fokusera på verksamhetens strategiska behov av IT-stöd i sina processer och bör därmed tas fram genom omfattande samverkan med verksamheten. Socialstyrelsen 17 (21)

20 6.2 Styrning och hantering av enskilda utvecklingsprojekt Socialstyrelsens projektmodell är bristfällig Socialstyrelsens projektmodell är inte uppdaterad, är inte ändamålsenlig avseende IT-projekt och efterlevs inte. Bland annat saknar modellen tydliga riktlinjer kring statusrapportering och information avseende användning av styrgrupper i projekten. Utan en tydlig projektmodell ökar risken för att väsentliga kontrollmoment och beslutspunkter ej beaktas i IT-utvecklingsprojekt vilket kan leda till såväl kvalitetsbrister i leveransen som onödigt höga kostnader. Vi rekommenderar att projektmodellen antingen revideras eller byts ut för att svara upp mot kraven vid IT-utvecklingsprojekt. Det finns ett flertal etablerade projektstyrningsmodeller som kan användas som utgångspunkt i det fall Socialstyrelsen vill bygga sin egen modell Bristfällig projektuppföljning Den löpande projektuppföljning som generellt sker avser främst projektets framfart och tar inte hänsyn till viktiga aspekter såsom budgetuppföljning, avvikelsehantering och löpande riskanalyser. Det finns även en stor osäkerhet kring styrgruppens roll kopplat till projektuppföljning. Bristfällig uppföljning av projektets kostnader och risker kan leda till såväl kvalitetsbrister i leveransen som onödigt höga kostnader. Vi rekommenderar att projektmodellen kompletteras med tydliga riktlinjer kring löpande uppföljning och statusrapportering. Vi rekommenderar att samtliga verksamhetsutvecklingsprojekt där IT-utveckling ingår har en styrgrupp som representant för beställaren av projektet. Denna bör regelbundet följa upp projektet genom styrgruppsmöten där projektledaren rapporterar status t.ex. månatligen Otydliga riktlinjer för kostnadsredovisning Det finns inte internt utarbetade anvisningar och rutiner för vilka kostnader som ska ingå i anskaffningsvärdet för en internt upparbetad immateriell anläggningstillgång i samband med utvecklingsprojekt 8. I Socialstyrelsens interna anvisningar för redovisning av immateriella anläggningstillgångar Beskrivning av immateriella investeringar ( ) finns det inte angivet vilka kostnader som ska ingå i anskaffningsvärdet för en internt upparbetad immateriell anläggningstillgång. Rutinerna för redovisning av kostnader i samband med utvecklingsprojekt är också oklara vad avser gränsdragningen mellan det som tillgångsredovisas respektive kostnadsförs. I Kunskapsportalprojektet kostnadsförs exempelvis samtliga lönekostnader 8 ESV:s handledning om immateriella anläggningstillgångar (ESV 2002:3) finns publicerad på intranätet Socialstyrelsen 18 (21)

21 inklusive kostnaden för den personal som deltar direkt i arbetet med att ta fram tillgången (Kunskapsportalen). Avsaknad av anvisningar och rutiner kring kostnadsredovisning medför risk för att bestämmelserna i föreskrifterna till 5 kap. 3 FÅB (Förordning (2000:605) om årsredovisning och budgetunderlag), om att i anskaffningsvärdet för en förvärvad tillgång ska räknas in kostnader som är direkt hänförliga till förvärvet, inte efterlevs. Detta är fallet i Kunskapsportalprojektet Nationell webbaserad kunskapsportal där kostnaderna för den personal som deltar direkt i att ta fram tillgången kostnadsförs. Vi rekommenderar att Ekonomienheten förbättrar och förtydligar rutinerna och anvisningarna för redovisning av internt upparbetade immateriella anläggningstillgångar med avseende på vilka kostnader som ska ingå i anskaffningsvärdet. Rutinerna för uppföljning av nedlagda kostnader bör också förbättras i respektive utvecklingsprojekt Bristande hantering av projektavslut Det finns inte enhetliga och tydliga rutiner för projektavslut och överlämning till drift och förvaltning. Kommunikationen har många gånger varit bristande vid överlämning av projekt till förvaltning. I utvecklingsprojekt anlitas ofta konsulter som även medverkar vid driftsättning. Problem uppstår när konsulterna lämnar projektet till drift då oklarheter kring roller och ansvar förekommer. I de fall förvaltningsorganisationen saknar tillräckliga resurser och utbildning för att hantera en större förändring i IT-stödet ökar risken för driftstörningar och bristande hantering av verksamhetens information. Vi rekommenderar att enhetliga rutiner och kontrollpunkter införs i projektstyrningsmodellen för att säkerställa att förvaltningsorganisationen har de resurser och kompetenser som krävs för en tillfredsställande drift och förvaltning IT-enheten saknar resurser med tillräcklig erfarenhet från projektarbete Flera representanter från verksamheten har i intervjuer lyft fram att det är svårt att få tillgång till IT-resurser med rätt kompetens i projekten. En anledning till detta är att IT-enheten enligt uppgift främst består av plattformstekniker och supportkunniga. Dessa saknar generellt den erfarenhet och kompetens som efterfrågas vid medverkan i projekt och styrgrupper som drivs av verksamheten. IT-enheten har idag för få resurser med verksamhetsförståelse och kompetens att omvandla verksamhetens önskemål och krav till IT-utvecklingsaktiviteter. Socialstyrelsen 19 (21)

22 Utvecklingsprojekt utan IT-resurser som stödjer arbetet med att förbättra och effektivisera verksamhetens användning av IT riskerar att resultera i systemstöd med såväl bristande ändamålsenlighet som driftsäkerhet. Vi rekommenderar att Socialstyrelsen ser över möjligheten att antingen genom utbildning eller genom rekrytering höja spetskompetensen inom IT-enheten när det gäller omvandling av verksamhetens önskemål och krav till IT-utvecklingsaktiviteter. 6.3 Hantering av löpande systemförvaltning och ITutvecklingsaktiviteter Systemförvaltningsmodellen saknar rollbeskrivningar Den nya systemförvaltningsmodellen är ett bra initiativ men saknar tydliga beskrivningar av rollerna systemägare och systemförvaltare som i modellen ska definieras. Utan en tydlig beskrivning av vad rollerna innebär ökar risken för att modellen inte används på ett ändamålsenligt sätt. Vi rekommenderar att Socialstyrelsen fortsätter införandet av den nya systemförvaltningsmodellen men att den kompletteras med en tydlig beskrivning av rollerna systemägare och systemförvaltare Avsaknad av struktur och process för hantering av förändringsbehov Det har vid granskningen framkommit att det inte finns en struktur och process för såväl kravställning som mottagande av förändringsbehov kopplat till IT-stödet. Idag sker kravställning avseende förändringsbehov kopplat till IT-stödet ad hoc. Ibland sker det genom muntlig kontakt med enskilda individer på IT-enheten medan det ibland sker formellt i form av PM eller liknande. Det finns ingen enhetlig struktur för hur förändringsbehov ska kommuniceras mellan verksamheten och IT-enheten eller andra leverantörer. Utan en tydlig process och tydliga roller för kommunikation av förändringsbehov avseende IT-stödet ökar risken för att förändringsbehoven hanteras av enskilda individer som kanske saknar tillräcklig helhetsbild och rätt kompetens för att hantera behovet på bästa sätt. Vi rekommenderar att Socialstyrelsen skapar en enhetlig process för beställning av förvaltnings- och IT-utvecklingsärenden till IT-enheten (och andra leverantörer). Ju mer det går att renodla kommunikationsvägarna desto bättre. Vi föreslår därför att varje avdelning utser en eller ett fåtal IT-samordnare/IT-beställare med ansvar att koordinera förändringsbehov i IT-stödet inom avdelningen och agera språkrör gentemot IT-enheten. Socialstyrelsen 20 (21)

23 Rollen innebär att vara förmedlare och kanal för information mellan chefer och verksamhet inom en avdelning till/från IT-enheten. På IT-enheten å andra sidan rekommenderar vi att en eller ett fåtal kundansvariga rekryteras/utses med ansvar att ta emot förändringsbehov från verksamheten och se till att rätt resurser hanterar dessa förfrågningar. Alla förändringsbehov i IT-stödet bör gå genom dessa personer där det inte redan finns fastställda kommunikationskanaler inom systemförvaltningsmodellen. Kundansvariga bör även ha kontinuerliga uppföljningsmöten med avdelningarnas IT-samordnare/IT-beställare avseende verksamhetens IT-behov där även IT-strategen kan medverka Otydligt ansvar för förvaltning av SAS-systemen Systemförvaltningen avseende de register och databaser som främst används av avdelningen Statistik och utvärdering och hanteras i SAS-system har inte fungerat tillfredsställande under en längre tid. Verksamheten som arbetar med statistikregistren har inte lyckats komma överens med IT-enheten om en för båda parterna acceptabel förvaltning. Utan en tydlig process och förvaltningsstrategi avseende SAS-systemen ökar risken för att informationen i systemen inte hanteras ändamålsenligt vilket kan medföra bristande kvalitet och effektivitet i verksamheten. Vi rekommenderar att systemförvaltningskontrakt upprättas för samtliga väsentliga register och databaser i enlighet med den nya systemförvaltningsmodellen för att i möjligaste mån tydliggöra ansvaret för förvaltning av systemen. Vi rekommenderar också att det framgår av Socialstyrelsens plattformsstrategi huruvida SASsystemen ingår i myndighetens långsiktiga val av IT-system Process för systemutveckling saknas Inom Socialstyrelsen finns ingen formell rutin eller process för hur systemutveckling ska hanteras. En sådan rutin bör exempelvis inkludera riktlinjer för kravställning, systemdokumentation, testning och driftsättning. Utan en tydlig process för systemutveckling och systemförändringar ökar risken att ändringar ej hanteras på ett korrekt, tydligt och konsekvent sätt. Bristande dokumentation från systemförändringar försvårar möjligheten att följa och logga en ändring genom processen samt ökar risken för att icke godkända ändringar blir driftsatta. En konsekvens av detta kan vara driftstörningar eller att verksamhetskritiska system inte fungerar i enlighet med uppsatta krav och mål. Vi rekommenderar att en enhetlig process för myndighetens systemutveckling tas fram och fastställs. Processen bör omfatta all systemutveckling inom Socialstyrelsen, även sådan som utförs av konsulter och externa leverantörer. Socialstyrelsen 21 (21)

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Projekthandbok. för administrativa utvecklingsprojekt vid Uppsala universitet

Projekthandbok. för administrativa utvecklingsprojekt vid Uppsala universitet för administrativa utvecklingsprojekt vid Uppsala universitet Innehållsförteckning 1. Syfte och bakgrund 3 2. Projekt som arbetsform 3 3. Projektportföljen kriterier och funktion 3 Projekt som inte är

Läs mer

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. SKRIVELSE 2016-06-07 Kommunrevisionen Till Kommunstyrelsen Till Kommunfullmäktige, för kännedom Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. Vi har genomfört en

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Projekthandbok. administrativa utvecklingsprojekt

Projekthandbok. administrativa utvecklingsprojekt administrativa utvecklingsprojekt Dokumentet uppdaterat oktober 2018 Innehållsförteckning 1. Syfte och bakgrund 3 2. Projekt som arbetsform 3 3. Projektportföljen kriterier och funktion 3 Projekt som inte

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Projekthandbok. för administrativa utvecklingsprojekt vid Uppsala universitet

Projekthandbok. för administrativa utvecklingsprojekt vid Uppsala universitet för administrativa utvecklingsprojekt vid Uppsala universitet Innehållsförteckning 1. Syfte och bakgrund 3 2. Projekt som arbetsform 3 3. Projektportföljen kriterier och funktion 3 Projekt som inte är

Läs mer

Projekthandbok. Riktlinjer och förhållningssätt

Projekthandbok. Riktlinjer och förhållningssätt Riktlinjer och förhållningssätt 1 Innehållsförteckning 1. Syfte och bakgrund 3 2. Ramar - administrativa projekt 3 Vad är ett projekt och vad kan projektformen bidra med 3 3. Projektportföljen kriterier

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

REVISIONSPLAN FÖR ÅR 2012

REVISIONSPLAN FÖR ÅR 2012 Internrevisionen Till styrelsen vid Göteborgs universitet Jan Sandvall 2012-02-20 Dnr V 2012/89 REVISIONSPLAN FÖR ÅR 2012 Styrelsesammanträde 2012-02-20, punkt 8 1 Inledning Internrevisionen vid Göteborgs

Läs mer

Uppföljningsrapport IT-generella kontroller 2015

Uppföljningsrapport IT-generella kontroller 2015 Revisionsrapport Uppföljningsrapport IT-generella kontroller 2015 Uppsala kommun Gustaf Gambe Frida Ilander 15 september 2015 1 av 17 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning...

Läs mer

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet BESLUT 1(7) Avdelning Ledningskansliet Handläggare Agnes Ers 08-563 086 63 agnes.ers@uka.se Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet Bakgrund Syftet med

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB 2012-10-02 Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 2 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen

Läs mer

Systemförvaltningsmodell för LiU

Systemförvaltningsmodell för LiU 2006-01-11 Bilaga Dnr LiU 447/05-10 1(6) Systemförvaltningsmodell för LiU För att säkerställa att LiUs systemförvaltning bedrivs med fokus på verksamhetens nytta och på ett tydligt och enhetligt sätt använder

Läs mer

Projektmodell. 1. Riktlinjer projektmodell 1 (6) 2010-03-12

Projektmodell. 1. Riktlinjer projektmodell 1 (6) 2010-03-12 12 1 (6) Projektmodell Projektmodell Projektmodell... 1 1. Riktlinjer projektmodell... 1 2. Projektförutsättningar... 2 2.1 Uppdragsgivaren... 2 2.2 Direktiv... 2 2.3 Förstudie... 2 2.4 Beslut... 2 2.5

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

Riktlinjer Projektmodell fo r Kungä lvs kommun

Riktlinjer Projektmodell fo r Kungä lvs kommun Riktlinjer Projektmodell fo r Kungä lvs kommun Riktlinjerna är antagna av förvaltningsledningen 2013-01-28 och gäller tillsvidare. (Dnr KS2012/1542) Ansvarig för dokumentet är chefen för enheten Utveckling,

Läs mer

Byta system bli klar i tid och undvik onödiga kostnader

Byta system bli klar i tid och undvik onödiga kostnader Byta system bli klar i tid och undvik onödiga kostnader Registratorskonferens 19 maj 2015 Elisabeth Jarborn Arkivchef och verksamhetsutvecklare, Danderyds kommun På två månader kan ni ha ny teknisk lösning

Läs mer

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009 Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall 2009-02-18 Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009 1 Inledning Internrevisionen vid Göteborgs universitet bedrivs i enlighet med internrevisionsförordningen

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

Metodstöd www.informationssäkerhet.se 2

Metodstöd www.informationssäkerhet.se 2 Projektplanering www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste

Läs mer

Revisionsrapport. Skogsstyrelsens delårsrapport Sammanfattning Skogsstyrelsen Jönköping.

Revisionsrapport. Skogsstyrelsens delårsrapport Sammanfattning Skogsstyrelsen Jönköping. Revisionsrapport Skogsstyrelsen 551 83 Jönköping Datum Dnr 2008-09-10 32-2008-1017 Skogsstyrelsens delårsrapport 2008 Riksrevisionen har översiktligt granskat Skogsstyrelsens (SKS:s) delårsrapport, daterad

Läs mer

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för PLSsystemet F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett

Läs mer

Regler och riktlinjer för intern styrning och kontroll vid KI

Regler och riktlinjer för intern styrning och kontroll vid KI Riktlinjer Dnr: 1795/2009-010 2009-06-01 Sid: 1 / 9 Universitetsförvaltningen Ledningskansliet Regler och riktlinjer för intern styrning och kontroll vid KI Riktlinjerna är fastställda av konsistoriet

Läs mer

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544 Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat

Läs mer

Svar på revisionsrapport om kommunens IT-strategi

Svar på revisionsrapport om kommunens IT-strategi TJÄNSTEUTLÅTANDE 2010-02-09 Dnr KS 157/2009-01 Leif Eriksson Kommunstyrelsen 2010-03-08 Svar på revisionsrapport om kommunens IT-strategi Sammanfattning KPMG har av Täby kommuns revisorer fått i uppdrag

Läs mer

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning Revisionsrapport Lantmäteriverket 801 82 Gävle Datum Dnr 2008-03-19 32-2007-0781 Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan Riksrevisionen har som ett led i den årliga revisionen

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer. Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer Innehållsförteckning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Projektprocessen. Projektprocess

Projektprocessen. Projektprocess Projektkontoret 1 (av 8) Projektprocess Datum: Version: Dokumentansvarig: 16-10-17 2.5 Projektkontoret Stöddokument för det grafiska dokumentet Projektprocessen grafisk 2.5 Projektprocessen Projektprocessen

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Ramverk för systemförvaltning

Ramverk för systemförvaltning Peter Yngve IT-centrum 2011-04-29 1.1 1 (8) Peter Yngve IT-centrum 2011-04-29 1.1 2 (8) BAKGRUND/MOTIV... 3 MÅL OCH SYFTE... 3 FORUM OCH GRUPPER... 3 LANDSTINGETS LEDNINGSGRUPP... 3 IT-GRUPP... 3 PROGRAMSTYRGRUPP...

Läs mer

Landstingets ärende- och beslutsprocess

Landstingets ärende- och beslutsprocess LANDSTINGET I VÄRMLAND REVISIONSRAPPORT Revisorerna AM/JM 2012-12-18 Rev/12017 Landstingets ärende- och beslutsprocess Sammanfattning Denna granskning har omfattat hantering enligt riktlinjen för landstingets

Läs mer

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport. 1(5) KS 2008/0177 Översyn av IT- och telefonidrift - lägesrapport Bakgrund Under det gångna året har inträffat ett antal driftstopp inom IT och telefoni som fått allvarliga konsekvenser genom att för verksamheten

Läs mer

Projektprocessen. Projektprocess

Projektprocessen. Projektprocess Dnr Mahr 19-2014/563 1 (av 6) Projektprocess Datum: Version: Dokumentansvarig: 150116 1.0 Jenny Wendle Stöddokument för det grafiska dokumentet Projektprocessen grafisk 1.0 Projektprocessen Projektprocessen

Läs mer

Projekthantering inom landstinget i Värmland - en förstudie

Projekthantering inom landstinget i Värmland - en förstudie LANDSTINGET I VÄRMLAND Revisionskontoret 2014-08-28 Veronica Hedlund Lundgren Rev/14024 Projekthantering inom landstinget i Värmland - en förstudie Rapport 2-14 Projekthantering vid Landstinget i Värmland

Läs mer

Processpecifikation för Hantera projekt

Processpecifikation för Hantera projekt Processpecifikation 2016-11-29 Processpecifikation för Hantera projekt Version 1.0 Fastställd den 1 december 2016 av processägare Ronny Kihlander 1 (7) Innehåll 1 Syfte med denna dokumentation... 3 1.1

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08 Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag 2008-02-20 Dnr B 5 350/08 REVISIONSPLANEN FÖR ÅR 2008 1. Inledning Internrevisionen vid Göteborgs universitet bedrivs i enlighet

Läs mer

Internrevisionsförordning (2006:1228)

Internrevisionsförordning (2006:1228) Internrevisionsförordning (2006:1228) Ekonomistyrningsverkets föreskrifter och allmänna råd1 Tillämpningsområde 1 Denna förordning gäller för förvaltningsmyndigheter under regeringen i den omfattning som

Läs mer

Planera genomförande

Planera genomförande Planera genomförande www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd Ekonomistyrningsverkets föreskrifter och allmänna råd till internrevisionsförordning (2006:1228). beslutade den 28 februari 2007.

Läs mer

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10 Revisionsrapport KPMG AB Antal sidor: 10 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Revisionskriterier 4 6. Ansvarig styrelse/nämnd 4 7. Metod 4 8. Projektorganisation 4

Läs mer

Att välja verktyg för portföljhantering. - Vad vet en leverantör om det?

Att välja verktyg för portföljhantering. - Vad vet en leverantör om det? Att välja verktyg för portföljhantering - Vad vet en leverantör om det? Agenda Problem som ska lösas med verktyg Olika typer av verktyg Att utvärdera och välja verktyg Egenutvecklat eller standard Förankring

Läs mer

Idrottsnämndens system för internkontroll

Idrottsnämndens system för internkontroll Idrottsförvaltningen Avdelningen för lednings- och verksamhetsstöd Sida 1 (7) 2016-11-30 IDN 2016-12-20 Handläggare Sara Östling Telefon: 08-508 27 918 Till Idrottsnämnden Idrottsnämndens system för internkontroll

Läs mer

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets

Läs mer

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017 Tyresö kommun Generella IT kontroller Economa och Heroma Detaljerade observationer och rekommendationer Juni 2017 Fredrik Dreimanis Johan Jelbring Tina Emami Innehållsförteckning Sammanfattning av granskningen...

Läs mer

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll Revisionsrapport Örebro universitet Fakultetsgatan 1 701 82 Örebro Datum Dnr 2009-03-30 32-2008-0701 Örebro universitets årsredovisning 2008 Riksrevisionen har granskat Örebro universitets årsredovisning,

Läs mer

Revisionsrapport Karolinska Institutet Stockholm

Revisionsrapport Karolinska Institutet Stockholm Revisionsrapport Karolinska Institutet 171 77 Stockholm Datum Dnr 2009-03-19 32-2008-0736 Karolinska Institutets årsredovisning 2008 Riksrevisionen har granskat Karolinska Institutets (KI:s) årsredovisning,

Läs mer

Internrevision miljö- och kvalitet - enligt ISO och ISO 9001

Internrevision miljö- och kvalitet - enligt ISO och ISO 9001 Internrevision miljö- och kvalitet - enligt ISO 14001 och ISO 9001 Göteborgs Stads Upphandlings AB Anna Lundeen anna.lundeen@canea.se 2016-05-17 Packhusgatan 6 SE-411 13 Göteborg Folkungagatan 49 SE-116

Läs mer

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8 Revisionsrapport KPMG AB Antal sidor: 8 KPMG network of independent member firms affiliated with KPMG International Cooperative Innehåll 1. Sammanfattning 1 1.1 Svar på revisionsfrågorna 1 1.2 Bedömning

Läs mer

E-strategi för Strömstads kommun

E-strategi för Strömstads kommun E-strategi för Strömstads kommun Antagen 2016-11-24 KF 134 1. Sammanfattning 3 2. Förutsättningar 3 3. Syfte 3 4. Vision och övergripande mål 3 5. Områden med avgörande betydelse för kommunens mål 4 6.

Läs mer

Dokument: Objektägare-ITs placering. Författare Malin Zingmark, Förnyad förvaltning

Dokument: Objektägare-ITs placering. Författare Malin Zingmark, Förnyad förvaltning Dokument: Objektägare-ITs placering Författare Malin Zingmark, Förnyad förvaltning Version A Sida 1 av 9 Datum 2015-03-25 Bil p 820 : 1 Objektägare-ITs placering Innehåll Objektägare-ITs placering... 1

Läs mer

Granskningsredogörelse 2013. Styrning och intern kontroll översiktlig granskning

Granskningsredogörelse 2013. Styrning och intern kontroll översiktlig granskning Granskningsredogörelse 2013 Skellefteå Kraft AB Björn E Persson Styrning och intern kontroll översiktlig granskning Bakgrund och syfte Bakgrund Lekmannarevisionen har med hänsyn till risk och väsentlighet

Läs mer

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Revisionsrapport Rutiner och intern styrning och kontroll 2016 T R A N S P O R T S T Y R E LSEN 601 73 N O R R K Ö P I N G B E S LUT: 20 1 7-04- 12 Transportstyrelsen Revisionsrapport Rutiner och intern styrning och kontroll 2016 Som ett led i granskningen av årsredovisningen

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Projektkontor V Thomas Persson

Projektkontor V Thomas Persson Projektkontor V1.0 2019-03-29 Thomas Persson Bakgrund IT-resurserna inom Sundsvalls kommun är en begränsad resurs och räcker inte till för alla behov. Prioritering via en projektportfölj är då ett måste.

Läs mer

Intern styrning och kontroll. Verksamhetsåret 2009

Intern styrning och kontroll. Verksamhetsåret 2009 Intern styrning och kontroll Verksamhetsåret 2009 ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt

Läs mer

Projekthantering uppföljning

Projekthantering uppföljning LANDSTINGET I VÄRMLAND Revisionskontoret 2018-05-14 Johan Magnusson Rev/18006 Projekthantering uppföljning Rapport 3-18 Projekthantering uppföljning Bakgrund Landstingets revisorer ansvarar för att genomföra

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

Riktlinjer för stadens arbetssätt,

Riktlinjer för stadens arbetssätt, Riktlinjer för stadens arbetssätt, metoder och verksamhetsarkitektur inom it-området tillhör Ett program för digital förnyelse The Capital of Scandinavia Innehåll 1 Inledning... 3 2 Stadens arkitekturramverk...

Läs mer

Ärende- och dokumenthantering

Ärende- och dokumenthantering www.pwc.se Revisionsrapport Ärende- och dokumenthantering Robert Bergman Projektledare 2016 Christer Marklund Kvalitetssäkrare Mars/2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...

Läs mer

Projektregler Gemensamma förvaltningen Projektkontoret Sida: 1 (9) 2011-07-11. Projektregler. för den universitetsgemensamma projektverksamheten

Projektregler Gemensamma förvaltningen Projektkontoret Sida: 1 (9) 2011-07-11. Projektregler. för den universitetsgemensamma projektverksamheten Projektkontoret Sida: 1 (9) Projektregler för den universitetsgemensamma projektverksamheten Projektkontoret Sida: 2 (9) Innehåll Syfte och bakgrund...4 1.1 Syfte...4 1.2 Bakgrund...4 2 Regler för projekt...4

Läs mer

Projektdirektiv. Verksamhet och Informatik (1)

Projektdirektiv. Verksamhet och Informatik (1) (1)10 (2)10 Innehållsförteckning 1 DOKUMENTSTYRNING... 4 1.1 shistorik...4 1.2 Referenser...4 1.3 avvikelse och förändringshantering i projektet...4 2 BAKGRUND OCH BESLUT OM PROJEKT... 5 2.1 Bakgrund...5

Läs mer

Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport

Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport Percy Carlsbrand Februari 2011 Innehållsförteckning 1 Sammanfattande bedömning och rekommendationer...

Läs mer

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012 Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Informationssäkerhetspolicy Tyresö kommun 2014-03-06 Innehållsförteckning 1 Mål för informationssäkerhetsarbetet... 3 2 Policyns syfte... 3 3 Grundprinciper... 4 4 Generella krav... 4 4.1 Kommunens informationstillgångar...

Läs mer

Regel. Regler för investeringar och projekt. 1. Inledning. 2. Definition av investering och projekt

Regel. Regler för investeringar och projekt. 1. Inledning. 2. Definition av investering och projekt Regel BESLUTSDATUM: 2014-03-18 BESLUT AV: Direktionen ANSVARIG AVDELNING: Avdelningen för verksamhetssupport FÖRVALTNINGSANSVARIG: Henrik Gardholm HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103 37

Läs mer

Från arkitektur till IT-styrning

Från arkitektur till IT-styrning Från arkitektur till IT-styrning 29-30 mars 2012 Nebojsa Bjelobrk,IT-strateg Göteborg Energi AB Agenda Problembilden Vem? Hur? Vad? Inköp? Plocka ut? Lägga tillbaka? Bäst före datum? IT-styrning på Göteborg

Läs mer

Västerviks kommuns revisorer. Granskning av projektverksamheten. Granskningsrapport. Audit KPMG AB 15 februari 2013 Göran Lindberg Antal sidor: 8

Västerviks kommuns revisorer. Granskning av projektverksamheten. Granskningsrapport. Audit KPMG AB 15 februari 2013 Göran Lindberg Antal sidor: 8 Granskning av projektverksamheten Granskningsrapport Audit KPMG AB 15 februari 2013 Göran Lindberg Antal sidor: 8 Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Uppdraget 1 4. Metod och avgränsning 2 5.

Läs mer

Riktlinjer för IT-utveckling

Riktlinjer för IT-utveckling Riktlinjer för IT-utveckling Fastställd 2017-02-07 av Bo Renman Tyresö kommun / 2017-02-07 2 (7) Innehållsförteckning 1 Inledning... 3 1.1 Syfte... 3 1.2 IT-system... 3 1.3 Strategi... 3 1.4 Styrande dokument...

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Dokument 1 till Kontrakt PROJEKTGENOMFÖRANDE

Dokument 1 till Kontrakt PROJEKTGENOMFÖRANDE Dokument 1 till Kontrakt 2011-04-20 Sid 1 (7) Dokument 1 till Kontrakt PROJEKTGENOMFÖRANDE Unicon 2011 Dokument 1 till Kontrakt 2011-04-20 Sid 2 (7) Innehåll: 1. PROJEKTLEDNING... 3 1.1. Allmänt... 3 1.2.

Läs mer

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr Revisionsrapport Styrelsen för internationellt utvecklingssamarbete 105 25 Stockholm Datum Dnr 2009-03-20 32-2008-0638 Styrelsen för internationellt utvecklingssamarbete årsredovisning 2008 Riksrevisionen

Läs mer

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance,

Läs mer

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet REVISIONSPLAN 2017-02-16 DNR V 2017/87 Internrevisionen Jan Sandvall Till styrelsen vid Göteborgs universitet REVISIONSPLAN FÖR ÅR 2017 1 Inledning Internrevisionen vid Göteborgs universitet bedrivs i

Läs mer

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen

Läs mer

Intern kontroll och riskbedömningar. Strömsunds kommun

Intern kontroll och riskbedömningar. Strömsunds kommun www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål

Läs mer

Revisionsrapport avseende granskning av Folke Bernadotteakademin

Revisionsrapport avseende granskning av Folke Bernadotteakademin Revisionsrapport Folke Bernadotteakademin 872 64 SANDÖVERKEN Datum 2004-02-09 Dnr 32-2003-0783 Revisionsrapport avseende granskning av Folke Bernadotteakademin Riksrevisionen har granskat verksamheten

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Vetenskapsrådets informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17

Läs mer

Utöver projektdirektivet ska en teknisk dokumentation för projektet arbetas fram.

Utöver projektdirektivet ska en teknisk dokumentation för projektet arbetas fram. Automationsingenjör mekatronik 400 yh-poäng Projektdirektiv Tillämpa med fördel rubriker under Förslag på projektdirektiv Du kan även ha andra rubriker än de som föreslås. Inhämta all data och information

Läs mer

Lokala regler och anvisningar för intern kontroll

Lokala regler och anvisningar för intern kontroll Kulturförvaltningen TJÄNSTEUTLÅTANDE Diarienummer: Avdelningen för verksamhets- och ledningsstöd 2019-03-27 KN 2019/364 Handläggare: Harald Lindkvist Lokala regler och anvisningar för intern kontroll Ärendebeskrivning

Läs mer

Revisionsrapport. Årsredovisning för Linköpings universitet 2006. Sammanfattning. Linköpings universitet 581 83 LINKÖPING 2007-04-20 32-2006-0596

Revisionsrapport. Årsredovisning för Linköpings universitet 2006. Sammanfattning. Linköpings universitet 581 83 LINKÖPING 2007-04-20 32-2006-0596 Revisionsrapport Linköpings universitet 581 83 LINKÖPING Datum Dnr 2007-04-20 32-2006-0596 Årsredovisning för Linköpings universitet 2006 Riksrevisionen har granskat årsredovisningen för Linköpings universitet

Läs mer

Uppföljningsrapport för internkontrollplanen 2018 för Fastighetsnämnden

Uppföljningsrapport för internkontrollplanen 2018 för Fastighetsnämnden Fastighetsnämnden Handläggare Lena Lien Telefon: 08-508 270 00 Dnr: FSK2019/61 Sid 1 (13) 2019-01-28 Till Fastighetsnämnden Uppföljningsrapport för internkontrollplanen 2018 för Fastighetsnämnden Sid 2

Läs mer

Systemägande och systemförvaltning vid Lunds universitet

Systemägande och systemförvaltning vid Lunds universitet BESLUT 1 2017-06-22 Dnr STYR 2017/946 Rektor Systemägande och systemförvaltning vid Lunds universitet Bakgrund Universitetet genererar och hanterar stora mängder information. Denna information måste hanteras

Läs mer

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång.   Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Landstinget i Värmland. Granskning av Landstingets kommunikation med medborgarna. Rapport KPMG AB. Antal sidor: 12 2009-07-01

Landstinget i Värmland. Granskning av Landstingets kommunikation med medborgarna. Rapport KPMG AB. Antal sidor: 12 2009-07-01 Granskning av Landstingets kommunikation med medborgarna Rapport KPMG AB Antal sidor: 12 Innehåll 1. Sammanfattning 1 2. Inledning 2 3. Bakgrund 2 4. Syfte och avgränsning 2 5. Revisionskriterier 3 6.

Läs mer